CobiNet(寧波)推薦文章:
在(zai)實施DDoS攻擊防(f����ang)護(hu)服務(wu)之前,有幾(ji)件事是企業應該考慮的。專(zhuan)家Ed Moyle討論了提高安全性要采取的幾(ji)個步驟。
一(yi)些(xie)(xie)MSSP中有這樣一(yi)種說法,有兩種客������戶:那(nei)些(xie)(xie)使用DDoS攻擊防(fang)(fang)護服務的客戶和那(nei)些(xie)(xie)自己從(cong)未(wei)遇到過(guo)DDoS攻擊的客戶。之(zhi)所以(yi)不(bu)難理解的原因是(shi):站在那(nei)些(xie)(xie)經歷過(guo)的人的出發點(dian),即便是(shi)一(yi)次(ci)DDoS攻擊事件也會(hui)對業務運營造成重創,以(yi)至(zhi)于(yu)只經歷過(guo)一(yi)次(ci)就足以(yi)將DDoS攻擊防(fang)(fang)護服務從(cong)一(yi)個有很好變為必須(xu)具備(bei)的服務。
2015年,比利時魯(lu)汶(wen)大(da)學和(he)紐約州立(li)大(da)學石溪分校發表(biao)了一(yi)篇論文,Maneuvering Around Clouds: Bypassing Cloud-based Security Providers,描述了與(yu)一(yi)些(xie)流行的基于云的DDoS攻(gong)(gong)擊(ji)(ji)防護(hu)������(hu)技術相關的問題。該論文,同CloudPiercer(論文中描述的一(yi)個 自(zi)動暴(bao)露源地址的工具(ju) )一(yi)起,演示了攻(gong)(gong)擊(ji)(ji)者可能通(tong)過向量(liang)收集(ji)規避某些(xie)類型(xing)的DDoS攻(gong)(gong)擊(ji)(ji)防護(hu)(hu)服(fu)務所需的信息。具(ju)體來說(shuo),許多(duo)基于云的DDoS攻(gong)(gong)擊(ji)(ji)防護(hu)(hu)服(fu)務主要依(yi)賴(lai)更改DNS(即DNS重路由)這種機制(zhi)來預過濾DDoS的流量(liang)。
以(yi)此種方式進行操作的服務會(hui)調整客戶的DNS記錄來指向他們的站點 - 有時被稱為 流量(liang)凈化中心 。他們������過濾掉(diao)非法(fa)(fa)的流量(liang),只(zhi)將合法(fa)(fa)流量(liang)轉到(dao)受(shou)保護(hu)(hu)(hu)的客戶網站。該研究(jiu)描述的是(shi)(shi)對受(shou)保護(hu)(hu)(hu)站點的原始IP(比如,受(shou)保護(hu)(hu)(hu)站點的外(wai)(wai)部IP)的意外(wai)(wai)暴露,CloudPiercer工具也對此進行了演示(shi)。這(zhe)樣的暴露會(hui)導(dao)致攻擊繞過防護(hu)(hu)(hu);意思就(jiu)是(shi)(shi),如果壞人能(neng)找(zhao)出未受(shou)保護(hu)(hu)(hu)的IP,仍然(ran)可以(yi)進行DDoS攻擊仿佛防護(hu)(hu)(hu)措施不(b������u)到(dao)位一(yi)樣。
人們對該(gai)(gai)研(yan)究(jiu)(jiu)表(biao)現(xian)出(chu)了一(yi)波最初(chu)的(de)興趣但之后又平�����(ping)息了下來,但這個(ge)問題仍然很重要。DDoS攻(gong)(gong)擊(ji)(ji)(ji)依舊存在,并且當(dang)發生的(de)時候還是(shi)(shi)會造成很大的(de)問題;同(tong)樣,源地(di)址發現(xian)在那些利(li)用(yong)DNS作(zuo)為矢(shi)量化流(liu)量方法的(de)工具和服務方面仍然是(shi)(shi)一(yi)個(ge)關鍵問題。因此,許多實施人員(yuan)可能想知(zhi)道在云里如何(he)使用(yong)DNS重路(lu)由具體(ti)實施DDoS攻(gong)(gong)擊(ji)(ji)(ji)防(fang)護(hu)的(de)方法,或者根據該(gai)(gai)研(yan)究(jiu)(jiu)一(yi)個(ge)云防(fang)護(hu)服務究(jiu)(jiu)竟有沒有意義。這不是(shi)(shi)一(yi)個(ge)���������容易回答的(de)問題,但我們可以系統(tong)地(di)解決它(ta);總之在實施過(guo)程中牢記一(yi)些事能在最壞(huai)的(de)情況發生的(de)時候,當(dang)你的(de)組(zu)織受(shou)到一(yi)次(ci)DDoS攻(gong)(gong)擊(ji)(ji)(ji)的(de)時候產生截然不同(tong)的(de)結(jie)果。
實施注意事項
首先,實(shi)施(shi)(shi)(shi)者在評(ping)估和實(shi)施(shi)(shi)(shi)基于云����的(de)DDoS攻(gong)擊防護(hu)服務時對源(yuan)地址發(fa)現(xian)的(de)了解是至(zhi)關重要的(de)。具體(ti)來(lai)(lai)說,實(shi)施(shi)(shi)(shi)人員需要了解源(yuan)地址發(fa)現(xian)到底是什(shen)么(me),以及為(wei)什(shen)么(me)很重要。大客戶可能(neng)會在某(mou)些(xie)(xie)情況下在BGP和DNS之間選擇一(yi)種作為(wei)流(liu)量重定(ding)向(xiang)到凈(jing)化中(zhong)心(xin)的(de)方(fang)法(比如,當他們可以靈(ling)活部(bu)署硬件并(bing)且至(zhi)少有(you)一(yi)個/24地址前綴 - C類地址)。盡管使用BGP比DNS會引入額外(wai)的(de)相關復雜性,但以源(yuan)地址發(fa)現(xian)的(de)問題來(lai)(lai)說是值得(de)的(de)。獲得(de)這種認識一(yi)部(bu)分可能(neng)會為(wei)企業(ye)正在評(ping)估的(de)服務提(ti)(ti)供商(shang)(shang)帶來(lai)(lai)一(yi)些(xie)(xie)關于源(yuan)地址發(fa)現(xian)的(de)尖(jian)銳問題,該提(ti)(ti)供商(shang)(shang)提(ti)(ti)供哪(na)(na)些(x�������ie)(xie)對此有(you)幫助的(de)服務,關于客戶如何讓信息得(de)到保護(hu)等方(fang)面有(you)哪(na)(na)些(xie)(xie)期望和設(she)想。
其次,建立一(yi)個流程來(lai)定期的(de)(de)(de)(de)檢(jian)(jian)查(cha)源地址(zhi)(zhi)暴露是(shi)(shi)(shi)非常重(zhong)要的(de)(de)(de)(de)。源地址(zhi)(zhi)可(ke)能會(hui)以(yi)幾種(zhong)方式(shi)暴露,而CloudPiercer工(gong)具(ju)可(ke)以(yi)檢(jian)(jian)查(cha)其中的(de)(de)(de)(de)一(yi)些方式(shi),但(dan)請記(ji)(ji)(ji)住,任何對外公開(kai)信(xin)息(xi)的(de)(de)(de)(de)途(tu)徑,如一(yi)個web開(kai)發者(zhe)不小心把地址(zhi)(zhi)包含一(yi)段網站的(de)(de)(de)(de)注(zhu)釋里(li),或者(zhe)固(gu)定的(de)(de)(de)(de)MX記(ji)(ji)(ji)錄,以(yi)及X.509證書的(de)(de)(de)(de)引(yin)用信(xin)息(xi), 都(dou)(dou)可(ke)能泄露源地址(zhi)(zhi)信(xin)息(xi)。因(yin)此,任何你(ni)可(ke)以(yi)利用的(de)(de)(de)(de)查(cha)詢該信(xi�������n)息(xi)的(de)(de)(de)(de)方法都(dou)(dou)是(shi)(shi)(shi)有(you)益的(de)(de)(de)(de)。其中包括漏洞掃描工(gong)具(ju),應(ying)用程序測試工(gong)具(ju),DLP工(gong)具(ju),或任何可(ke)以(yi)調整或編(bian)寫(xie)的(de)(de)(de)(de)幫助查(cha)找和標記(ji)(ji)(ji)源地址(zhi)(zhi)泄漏的(de)(de)(de)(de)規則(ze)在這(zhe)里(li)都(dou)(dou)是(shi)(shi)(shi)有(you)用的(de)(de)(de)(de)。定期的(de)(de)(de)(de)運(yun)行(xing)這(zhe)些工(gong)具(ju),或進行(xing)自我(wo)檢(jian)(jian)查(cha)尤其有(you)價值,因(yin)為每次評估都(dou)(dou)是(shi)(shi)(shi)一(yi)個 時間點 練習,可(ke)以(yi)更改配置,快速發布內容的(de)(de)(de)(de)更新。
然后(hou),對DDoS攻(gong)擊服(fu)務(wu)本身(shen)進行測(ce)試(shi)(shi)是(shi)有益的(de)。這(zhe)(zhe)里要小心不(bu)(bu)要將(jiang)DDoS攻(gong)擊防(fang)護(hu)服(������fu)務(wu)當(dang)作(zuo)保險(xian)來看待:認為在(zai)當(dang)你(ni)需要的(de)時(shi)候一定會出現(xian),用不(bu)(bu)到的(de)時(shi)候則是(shi)無形的(de)。更好的(de)方法是(shi)測(ce)試(shi)(shi)DDoS攻(gong)擊防(fang)護(hu),就像測(ce)試(shi)(shi)DR或其他應急措施。有信譽的(de)廠(chang)商(shang)將(jiang)不(bu)(bu)會拒絕這(zhe)(zhe)一請求;它(ta)反而(er)會主(zhu)動這(zhe)(zhe)么(me)做并(bing)且將(jiang)這(zhe)(zhe)作(zuo)為一個展示其能力的(de)機會,它(ta)甚至還(huan)會幫助你(ni)推動這(zhe)(zhe)一測(ce)試(shi)(shi)。這(zhe)(zhe)不(bu)(bu)是(shi)建議讓某(mou)人作(zuo)為誘餌讓匿(ni)名者發起DDoS攻(gong)擊,即使(shi)是(shi)不(bu)(bu)對帶(dai)寬(kuan)使(shi)用造(zao)成影響的(de)小規模測(ce)試(shi)(shi)都可以確保該服(fu)務(wu)是(shi)按(an)照預期工(gong)作(zuo)的(de),而(er)企(qi)業的(de)花(hua)費物(wu)有所值。
最(zui)后,評估實現一(yi)(yi)些(xie)過濾(lv)器或(huo)者檢(jian)測規則,對不(bu)(bu)(bu)是(shi)來自流(liu)量凈化中心(xin)的(de)(de)(de)(de)����流(liu)量進行過濾(lv)或(huo)檢(jian)測。一(yi)(yi)些(xie)服務(wu)(wu)提(ti)供商也許會(hui)(hui)建議過濾(lv)掉所有(you)(you)不(bu)(bu)(bu)從他們發(fa)起的(de)(de)(de)(de)流(liu)量;這在(zai)可行的(de)(de)(de)(de)情(qing)況(kuang)下是(shi)個(ge)不(bu)(bu)(bu)錯的(de)(de)(de)(de)方法(fa),但要(yao)注意(yi),也會(�������hui)(hui)有(you)(you)一(yi)(yi)些(xie)情(qing)況(kuang)不(bu)(bu)(bu)允許這么做(zuo)。例如,這種嚴格過濾(lv)對于一(yi)(yi)有(you)(you)巨大(da)安裝基數(shu)的(de)(de)(de)(de)硬(ying)編碼的(de)(de)(de)(de)或(huo)難(nan)以改變IP的(de)(de)(de)(de)遺(yi)留應用(yong)來說很難(nan)生效。即便過濾(lv)所有(you)(you)除了凈化中心(xin)以外的(de)(de)(de)(de)流(liu)量是(shi)不(bu)(bu)(bu)可能的(de)(de)(de)(de)或(huo)者不(bu)(bu)(bu)可行的(de)(de)(de)(de)狀況(kuang)下,仍然有(you)(you)一(yi)(yi)些(xie)其(qi)它的(de)(de)(de)(de)選擇。例如,可以利用(yong)一(yi)(yi)個(ge)IDS或(huo)其(qi)他檢(jian)測控制來提(ti)醒(xing)安全小組不(bu)(bu)(bu)是(shi)從服務(wu)(wu)提(ti)供商發(fa)起的(de)(de)(de)(de)意(yi)料之外的(de)(de)(de)(de)連接(jie);雖(sui)然這并不(bu)(bu)(bu)會(hui)(hui)阻止(zhi)DDoS攻(gong)擊,但至少(shao)會(hui)(hui)提(ti)醒(xing)組織有(you)(you)可疑(yi)的(de)(de)(de)(de)事情(qing)發(fa)生,比(bi)如一(yi)(yi)個(ge)來自攻(gong)擊者的(de)(de)(de)(de)偵查探測,該探測將有(you)(you)可能導致后續更險惡(e)的(de)(de)(de)(de)事情(qing)發(fa)生。
盡管如何處理基(ji)于DNS的(de)DDoS攻擊防(fang)護(hu)是(shi)一(yi)件充滿挑戰的(de)事,但(dan)從實現(xian)(xian)的(de)角(jiao)度看,企(qi)業可(ke)以采取(qu)一(yi)些非常現(xian)(xian)實的(de)步驟,以確保(bao)得到他們想要(yao)和期望的(�������de)防(fang)護(hu)。通過了解源地址發現(xian)(xian)是(s����hi)什么,對源地址發現(xian)(xian)以及DDoS攻擊防(fang)護(hu)服務本身(shen)都(dou)進(jin)行測(ce)試,并評(ping)估過濾與/或檢測(ce)的(de)機(ji)制,企(qi)業可(ke)以在這(zhe)一(yi)塊保(bao)持領先的(de)地位。
文章編輯:CobiNet(寧波)
本公司專注于電訊配件,銅纜綜合布線系列領域產品研發生產超五類,六類,七類屏蔽網線/屏蔽模塊及相關模塊配件, 我們是萬兆屏蔽模塊,10G屏蔽模塊,屏蔽線生產廠家。
歡(huan)迎來電咨詢0574 88168918,郵箱sales@aliance������.cn,網址(zhi)aliance.cn
